[linux-l] [flamewar]"...welche Distri"

[Peter Ross]

On Mon, 17 Jul 2006, Ralph Angenendt wrote:

> Wenn es um die Vorkonfiguration geht - klar. Da ist Fedora recht weit
> vorne dran, seit FC5 läuft SELinux, ohne den Nutzer bei der normalen
> Arbeit einzuschränken.

Aha.

Die Frage ist dann die, wieviel es nuetzt (Vergleich einer Analogie: 
Vermutlich wird jeder Nutzer sagen, wenn ich "chmod -R 777 /" mache, kann 
er alles tun, ohne behindert zu werden;-)

Wie gesagt, ich habe bisher nicht die Zeit gehabt, um damit ausfuehrlich 
rumzuspielen.

Wie Olaf schreibt, "Nichts ist erlaubt, was nicht erlaubt wurde..."

Das Problem liegt dann darin, einen Ruleset zu haben, der laeuft und 
_verifizierbar_ sicher ist. Je naeher ich an den Kern der Sache komme, 
desto ueberschaubarer sind die Eingriffe - es ist halt am einfachsten, 
das Wasser an der Quelle aufzuhalten.

Daher ist das erwaehnte BSD-jail so nett, nach Angaben der Entwickler war 
die Einfuehrung nur mehrere hundert Zeilen 'schwer". Jeder Prozess (bzw. 
die entsprechende Kernelstruktur) bekommt eine jail-ID, und jedes Mal, 
wenn der Kernel ueberpruefen muss, ob die entsprechende Berechtigung da 
ist, um auf eine Ressource zuzugreifen, wird die Jail-ID gecheckt. Das ist 
recht einfach.

Gruss
Peter